تشمل هذه المقالة على توصيات الأمان الخاصة بتخزين الكائن الثنائي كبير الحجم. يساعدك تنفيذ هذه التوصيات على الامتثال في تنفيذ التزامات الأمان كما هو موضح في نموذج المسؤولية المشتركة. لمزيد من المعلومات حول كيفية وفاء Microsoft بمسؤوليات موفر الخدمة، راجع المسؤولية المشتركة في السحابة.
يمكن مراقبة بعض التوصيات المضمنة في هذه المقالة تلقائيا بواسطة Microsoft Defender لل Cloud، وهو خط الدفاع الأول في حماية مواردك في Azure. للحصول على مزيد من المعلومات بشأنMicrosoft Defender for Cloud، راجع ما هو Microsoft Defender for Cloud؟
يحلل Microsoft Defender for Cloud بشكل دوري حالة أمان موارد Azure من أجل تحديد الثغرات الأمنية المحتملة. ثم يقدم لك توصيات بشأن كيفية معالجتها. للحصول على مزيد من المعلومات حول توصيات Microsoft Defender for Cloud، راجع توصيات الأمان في Microsoft Defender for Cloud.
حماية البيانات
التوصية
التعليقات
Defender للسحابة
استخدم نموذج النشر الخاص بـ Azure Resource Manager
قم بإنشاء حسابات تخزين جديدة باستخدام نموذج نشر Azure Resource Manager من أجل الحصول على تحسينات أمنية مهمة، بما في ذلك التحكم في الوصول المتفوق إستناداً إلى دور Azure (Azure RBAC) والتدقيق والنشر والإدارة المستندة إلى إدارة الموارد والوصول إلى الهويات المدارة والوصول إلى Azure Key Vault للأسرار، والمصادقة والتفويض المستندين إلى Azure AD للوصول إلى بيانات وموارد تخزين Azure. إذا كان ذلك ممكنا، يتعين ترحيل حسابات التخزين الحالية التي تستخدم نموذج النشر الكلاسيكي لاستخدام مدير موارد Azure. لمزيد من المعلومات حول مدير موارد Azure، يرجى الاطلاع على نظرة عامة بشأن مدير موارد Azure.
-
تمكين Microsoft Defender لجميع حسابات التخزين الخاصة بك
يوفر Microsoft Defender للتخزين طبقة إضافية من التحليل الذكي الأمني الذي يكشف عن المحاولات غير العادية والمضرة للوصول إلى حسابات التخزين أو استغلالها. يتم تشغيل تنبيهات الأمان في Microsoft Defender for Cloud عند حدوث حالات شاذة في النشاط، كما يتم إرسالها عبر البريد الإلكتروني إلى مسؤولي الاشتراك، مع تفاصيل الأنشطة المشبوهة وتوصيات حول كيفية التحقيق في التهديدات وكيفية التعامل معها. للحصول على مزيد من المعلومات، راجع تكوينMicrosoft Azure Storage.
يتيح لك الحذف المبدئي للكائنات الثنائية كبيرة الحجم استرداد بيانات الكائنات الثنائية كبيرة الحجم بعد حذفها. لمزيد من المعلومات حول الحذف المبدئي للنقاط، راجع الحذف المبدئي لنقاط تخزين Azure.
-
تشغيل الحذف المبدئي للحاويات
يمكنك الحذف المبدئي للحاويات من استرداد حاوية بعد حذفها. لمزيد من المعلومات، راجع الحذف المبدئي للحاويات.
-
تأمين حساب التخزين لمنع الحذف العرضي أو الضار أو تغييرات التكوين
تطبيق قفل Azure Resource Manager على حساب التخزين الخاص بك لحماية الحساب من الحذف أو تغيير التكوين العرضي أو الضار. لا يمنع قفل حساب تخزين البيانات الموجودة داخل هذا الحساب من الحذف. لكنه يمنع فقط الحساب نفسه من الحذف. لمزيد من المعلومات، راجع تطبيق قفل Azure Resource Manager على حساب تخزين.
تخزين البيانات المهمة للأعمال في الكائنات الثنائية كبيرة الحجم غير القابلة للتغيير
تكوين احتجازات قانونية ونهج استبقاء مستندة إلى الوقت لتخزين بيانات الكائنات الثنائية كبيرة الحجم في حالة WORM (الكتابة مرة واحدة، قراءة العديد). يمكن قراءة الكائنات الثنائية كبيرة الحجم المخزنة بشكل غير قابل للتحديد، ولكن لا يمكن تعديلها أو حذفها طوال مدة فاصل الاستبقاء. لمزيد من المعلومات، راجع تخزين بيانات البيانات الثنائية الكبيرة المهمة للأعمال باستخدام وحدة تخزين ثابتة.
-
يتطلب نقل آمن ("https") إلى حساب التخزين
عندما تحتاج إلى نقل آمن لحساب تخزين، يجب تقديم جميع الطلبات إلى حساب التخزين عبر HTTPS. يتم رفض أي طلبات يتم تقديمها عبر HTTP. توصي Microsoft بأن تطلب دائماً النقل الآمن لجميع حسابات التخزين الخاصة بك. لمزيد من المعلومات، راجع طلب نقل آمن لضمان اتصالات آمنة.
-
تقييد رموز التوقيع المتعلقة بالوصول المشترك (SAS) إلى اتصالات HTTPS فقط
استخدم Azure Active Directory (Azure AD) لتخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم
يوفر Azure AD أمان فائق وسهولة استخدام عبر المفتاح المشترك لتخويل طلبات تخزين الكائنات الثنائية كبيرة الحجم. لمزيد من المعلومات، راجع السماح بالوصول إلى تخزين Azure.
-
ضع في اعتبارك إذن أقل امتياز عند تعيين أذونات إلى أمان Azure AD الأساسي عبر Azure RBAC
عند تعيين دور إلى مستخدم أو مجموعة أو تطبيق، يتعين منح هذا الأمان الأساسي فقط تلك الأذونات الضرورية لتنفيذ مهامه. يساعد تقييد الوصول إلى الموارد على منع إساءة استخدام البيانات بشكل غير المتعمد والضار.
-
استخدام تفويض مستخدم SAS لمنح وصول محدود إلى بيانات الكائن الثنائي كبير الحجم للعملاء
يُعد تفويض مستخدم توقيعات الوصول المشترك مؤمن بواسطة بيانات اعتماد Azure Active Directory (Azure AD) وأيضاً بواسطة الأذونات المحددة لتوقيعات الوصول المشترك. تفويض المستخدم SAS مماثل لخدمة SAS من حيث نطاقها ووظيفتها، ولكنها تقدم مزايا أمنية على خدمة SAS. للحصول على مزيدٍ من المعلومات، راجع منح الوصول المحدود إلى موارد تخزين Azure باستخدام توقيعات الوصول المشتركة (SAS).
-
العمل على تأمين مفاتيح الوصول إلى حسابك باستخدام Azure Key Vault
توصي Microsoft باستخدام Azure AD لتخويل الطلبات إلى تخزين Azure. ومع ذلك، إذا كان يجب عليك استخدام تخويل المفتاح المشترك، يتعين تأمين مفاتيح الحساب الخاص بك باستخدام Azure Key Vault. يمكنك استرداد المفاتيح من مخزن المفاتيح أثناء وقت التشغيل، بدلا من حفظها مع التطبيق الخاص بك. لمزيدٍ من المعلومات حول Azure Key Vault، راجع نظرة عامة على Azure Key Vault.
-
إعادة إنشاء مفاتيح الحساب الخاص بك بشكل دوري
يؤدي تدوير مفاتيح الحساب بشكل دوري إلى تقليل مخاطر تعريض بياناتك إلى جهات ضارة.
-
عدم السماح بتخويل المفتاح المشترك
عندما لا تسمح بتخويل المفتاح المشترك لحساب تخزين، يرفض Azure Storage جميع الطلبات اللاحقة لهذا الحساب المصرح بها باستخدام مفاتيح الوصول إلى الحساب. لن تنجح سوى الطلبات الآمنة المصرح بها باستخدام Microsoft Azure Active Directory. لمزيد من المعلومات، انظر منع تخويل "مفتاح مشترك" لحساب تخزين Azure.
-
ضع في اعتبارك أساس أقل امتياز عند تعيين أذونات إلى SAS
عند إنشاء SAS، يتعين تحديد فقط تلك الأذونات التي يحتاجها العميل لأداء وظيفته. يساعد تقييد الوصول إلى الموارد على منع إساءة استخدام البيانات بشكل غير المتعمد والضار.
-
يجب وضع خطة إبطال لأي SAS تصدرها للعملاء
إذا تم اختراق SAS، حينها يتعين إبطال SAS في أقرب وقت ممكن. لإبطال تفويض مستخدم SAS، قم بإلغاء مفتاح تفويض المستخدم لإبطال كافة التواقيع المقترنة بهذا المفتاح بسرعة. لإبطال خدمة SAS مقترنة بنهج وصول مخزن، يمكنك حذف نهج الوصول المخزن أو إعادة تسمية النهج أو تغيير وقت انتهاء صلاحيته إلى وقت سابق. للحصول على مزيدٍ من المعلومات، راجع منح الوصول المحدود إلى موارد تخزين Azure باستخدام توقيعات الوصول المشتركة (SAS).
-
إذا كانت خدمة SAS غير مرتبطة بنهج الوصول المخزن، يجب تعيين وقت انتهاء الصلاحية بساعة واحدة أو أقل
لا يمكن إبطال خدمة SAS غير المقترنة مع نهج الوصول المخزن. لهذا السبب، يوصى بتحديد وقت انتهاء الصلاحية بحيث تكون فترة صلاحية SAS لمدة ساعة واحدة أو أقل.
-
تعطيل وصول القراءة العامة المجهولة إلى الحاويات والكائنات الثنائية كبيرة الحجم
يمنح الوصول العام المجهول للقراءة إلى حاوية ونقطها وصولا للقراءة فقط إلى هذه الموارد لأي عميل. تجنب تمكين الوصول العام للقراءة ما لم يتطلب السيناريو الخاص بك ذلك. لمعرفة كيفية تعطيل الوصول العام المجهول لحساب تخزين، راجع تكوين الوصول العام المجهول للقراءة للحاويات والنقط.
-
الشبكات
التوصية
التعليقات
Defender للسحابة
تكوين الإصدار الأدنى المطلوب من أمان طبقة النقل (TLS) لحساب تخزين.
تمكين خيار النقل الآمن المطلوب على كافة حسابات التخزين الخاصة بك
عند تمكين الخيار Secure transfer required، يجب أن تتم جميع الطلبات المقدمة مقابل حساب التخزين عبر اتصالات آمنة. ستفشل أي طلبات تتم عبر HTTP. لمزيد من المعلومات، راجع طلب النقل الآمن الخاص بتخزين Azure .
قم بتكوين قواعد جدار الحماية للحد من الوصول إلى حساب التخزين الخاص بك للطلبات التي تنشأ من عناوين IP أو النطاقات المحددة، أو من قائمة الشبكات الفرعية في شبكة Azure الظاهرية (VNet). للحصول على مزيدٍ من المعلومات حول تكوين قواعد جدار الحماية، راجع تكوين جدران حماية تخزين Azure والشبكات الظاهرية.
-
السماح لخدمات Microsoft الموثوقة بها بالوصول إلى حساب التخزين
يؤدي تشغيل قواعد جدار الحماية لحساب التخزين خاصتك إلى حظر الطلبات الواردة للحصول على البيانات افتراضيًا، إلا إذا كانت الطلبات تنشأ من خدمة تعمل داخل شبكة Azure الظاهرية (VNet) أو من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى ومن مدخل Microsoft Azure ومن خدمات التسجيل والقياسات وما إلى ذلك. يمكنك السماح بالطلبات من خدمات Azure الأخرى عن طريق إضافة استثناء للسماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين. للحصول على مزيدٍ من المعلومات حول إضافة استثناء بشأن خدمات Microsoft الموثوقة، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية.
-
استخدام نقاط نهاية خاصة
تنشأ نقطة النهاية الخاصة بتعيين عنوان IP خاص من شبكة Azure الظاهرية (VNet) إلى حساب التخزين. إنه يؤمن كل نسبة استخدام الشبكة بين VNet وحساب التخزين عبر الرابط الخاص. للحصول على مزيد من المعلومات بشأن نقاط النهاية الخاصة، راجع الاتصال بشكل خاص إلى حساب تخزين باستخدام نقطة نهاية Azure الخاصة.
-
يتعين استخدام علامات خدمة الشبكة الظاهرية
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. للحصول على مزيد من المعلومات بشأن علامات الخدمة التي يدعمها تخزين Azure، راجع نظرة عامة على علامات خدمة Azure. للحصول على برنامج تعليمي يوضح كيفية استخدام علامات الخدمة لإنشاء قواعد الشبكة الصادرة، راجع تقييد الوصول إلى الموارد الخاصة بـ PaaS.
-
التقييد المتعلق بالوصول إلى شبكة الاتصال بشبكات محددة
يؤدي تقييد الوصول إلى الشبكات التي تستضيف العملاء الذين يحتاجون إلى الوصول إلى تقليل تعرض الموارد الخاصة بك لهجمات الشبكة.
يمكنك تكوين تفضيل توجيه الشبكة لحساب تخزين Azure الخاص بك لتحديد كيفية توجيه حركة مرور الشبكة إلى حسابك من العملاء عبر الإنترنت باستخدام شبكة Microsoft العمومية أو توجيه الإنترنت. لمزيد من المعلومات، راجع تكوين تفضيل توجيه الشبكة لتخزين Azure.
قم بتكوين تنبيهات السجلات لتقييم سجلات الموارد بترددات مجموعة، ثم قم بتنبيه استنادا إلى النتائج. لمزيد من المعلومات، راجع تنبيهات السجلات في Azure Monitor.